خلاصة:
با توجه به ناکارآمدی روشهای تحلیل ایستا بهواسطه روشهای بدافزاری نظیر چندریختی، دگرریختی و مبهمسازی کد و کدخود تصحیح، روشهای تحلیل پویا و مکاشفهای که اساسا مبتنی بر تحلیل رفتار زمان اجرای بدافزار هستند، از اهمیت ویژهای برخوردار شدهاند. پیدایش بدافزارهای آگاه به محیط، که با بهکارگیری روشهای ضدتحلیلی پویا سعی در پنهانسازی رفتار بدخواهانه خود در صورت تشخیص محیطها و ابزارهای تحلیل دارند، در عمل روشهای تشخیص پویای بدافزار را با مشکل مواجه نموده است. با درنظرگیری دوگانگی رفتار چنین بدافزارهایی، در این تحقیق راهکاری موثر با هدف تشخیص بدافزارهای آگاه به محیط ارائه شده است. اینروش مبتنیبر پایش فراخوانیهای سیستمی نمونههای بدخواه و بیخطر تحت دو نرمافزار NtTracce و drstrace با روشهای متفاوت پایش و محاسبه فاصله رفتاری حاصل، برای گردآوری دادهها جهت ایجاد مدلی برای شناسایی این دسته از بدافزارها است. نهایتا یک دستهبند ماشینبردار پشتیبان، با یادگیری مجموعهدادهی آموزش متشکل از بدافزارهای آگاه به محیط و نرمافزارهای بیخطر، با روش اعتبارسنجی متقابل و جستجوی گرید با قابلیت تشخیص این نوع بدافزارها با میانگین دقت، یادآوری و صحت قابل توجه تا حد 100%، ارائه میشود. در حالی که ارزیابیهای انجام شده در کار مرتبط قبلی میانگین دقت، یادآوری و صحت را به ترتیب 58/96%، 68/95% و 125/96% نشان میدهد.
ملخص الجهاز:
راهکار پیشنهادی شامل پایش فراخوانیهای سیستمی یک نمونهی مشکوک تحت دو نرمافزار NtTracce [8] و drstrace [9] با دو روش متفاوت در دو اجرای مجزا و سپس محاسبه فاصله رفتاری نمونه مشکوک در دو اجرا با استفاده از الگوریتم طولانیترین زیردنباله مشترک و نهایتاً ارائه یک مدل با استفاده از ماشینهای بردار پشتیبان برای دستهبندی نمونه بدافزارهای آگاه به محیط و نرمافزارهای بیخطر، برای شناسایی این نوع از بدافزارها است.
از آنجایی که یکیاز روشهای ضدتحلیلی که بدافزار برای شناسایی ابزارها و محیطهای تحلیل شناختهشده و پرکاربرد، نظیر wireshark، sandboxie، virtualBox و غیره، به کار میبرد، جستجو در کلیدهای رجیستری و بررسی برنامههای در حال اجرا روی سیستم است، استفاده از دو ابزار پایش فراخوانیهای سیستمی NtTrace و drstrace که کمتر رایج و شناخته شده هستند، احتمال اینکه بدافزار با وجود ابزارهای فراوان و متنوع رایج برای تحلیل، وجود این دو ابزار را بررسی کند، کاهش داده و در نتیجه میتواند این روش ضدتحلیلی را بینتیجه بگذارد (مرحله اول راهکار پیشنهادی).
3-1- مرحله اول راهکار پیشنهادی در این مرحله فایل اجرایی نمونه بدافزار آگاه به محیط یا نرمافزار بیخطر با شرایط یکسان تحت دو نرمافزار پایش فراخوانیهای سیستمی drstrace و NtTrace اجرا میشود.
جدول (2): خانواده بدافزارهای آگاه به محیط استفادهشده در ارزیابی (رجوع شود به تصوير صفحه) 4-2- آموزش مدل ماشین بردار پشتیبان همانطور که در مرحله سوم راهکار پیشنهادی بیان شد، در این تحقیق ما از کلاس SVC در کتابخانه Scikit-Learn برای ساخت یک دستهبند ماشینبردار پشتیبان استفاده میکنیم.